系统环境Windows Server 2022 数据中心版
C盘根目录权限：Administrators和SYSTEM对"此文件夹、子文件夹和文件":完全控制，Users对"此文件夹和子文件夹":读取，其他全部删除
D盘和其他盘权限：Administrators和SYSTEM对"此文件夹、子文件夹和文件":完全控制，其他用户的权限全部删除
安装护卫神V4.2搭建WEB网站环境 安装到D盘D:\HwsHostMaster
1、对IIS相关目录权限设置并关闭默认网站
1.1、在IIS中停用"Default Web Site"默认网站
1.2、对C:\inetpub的Users只保留读取权限
1.3、对C:\inetpub\temp增加IIS_IUSRS读写权限：
icacls "%SystemDrive%\inetpub\temp" /grant:r "IIS_IUSRS:(OI)(CI)(R,W)"
2、主机大师主控网站安全加强
主机大师主控网站目录一般在D:\HwsHostMaster\host\web
2.1、防火墙入站规则中删除6588端口的开放规则
2.2、IIS网站管理中--IP地址和域限制--右边"编辑功能设置"--将"未指定的客户端的访问权限"设置为"拒绝"
     IIS网站管理中--IP地址和域限制--右边"添加允许条目"--将"127.0.0.1"添加进去让本地能访问
2.3、取消网站运行用户对网站目录的写入权限
2.4、删除IIS_IUSRS在网站目录的权限
3、 phpMyAdmin网站权限加强
phpMyAdmin网站目录一般在D:\HwsHostMaster\phpweb\phpmyadmin
3.1、取消网站运行用户PhpMyAdmin_HWS对网站目录的写入权限
3.2、删除IIS_IUSRS在网站目录的权限
4、修改myodbc安装目录的权限
‪D:\HwsHostMaster\phpweb\myodbc\x64
D:\HwsHostMaster\phpweb\myodbc\x86
删除Everyone用户的权限 加上users读取和执行的权限
但删除 D:\HwsHostMaster\phpweb\myodbc\* \myodbc-installer.exe文件的users权限
5、PHP的安装目录只保留一个php-cgi.exe的exe文件
PHP5.2没有php-cgi.exe所以目录不要有任何exe文件
将PHP运行在FastCGI模式下
6、 PHP安装文件夹权限结构：
administrator 完全控制
system 完全控制
users  读取和执行
其他用户的权限一律删除
注意PHP缓存目录的权限D:\HwsHostMaster\phpweb\php*\tmp要单独看一下
看一下php.ini配置文件中session.save_path的值
是否配置了session公用缓存目录
如果配置了 要注意session缓存目录的权限：
administrator 完全控制
system 完全控制
users  读取和写入  另外在详细高级权限中加上 删除子文件夹以文件、删除 这个2个子权限
users  拒绝类型 删除 只有该文件夹
users 高级权限中删除写入属性、写入扩展属性 这2个子权限
为了预防网站存在漏洞,被黑客创建隐藏文件和只读文件到PHP公用的session缓存目录
7、IIS其他组件的文件夹权限：
如aspjpeg、aspupload、jmail等
administrator 完全控制
system 完全控制
users  读取和执行
其他用户的权限一律删除
8、 Mysql数据库文件夹权限
先将mysql数据库运行在没加入任何用户组的独立用户下
8.1、Mysql安装所在分区权限：
administrator 完全控制
system 完全控制
Mysql运行用户MySQL_HWS  读取权限(单小项)  只有该文件夹
8.2、Mysql安装文件夹mysql的权限(上级目录不需要设置)
D:\HwsHostMaster\phpweb\mysql权限结构：
administrator 完全控制
system 完全控制
Mysql运行用户MySQL_HWS  读取和执行
8.3、Mysql数据库目录D:\HwsHostMaster\phpweb\mysql\data权限：
administrator 完全控制
system 完全控制
Mysql运行用户MySQL_HWS  完全控制
我们也可以通过修改mysql\my.ini文件中的参数将数据库放其他分区
datadir="E:/MySQL5735/data/"
innodb_data_home_dir ="E:/MySQL5735/data/"
innodb_log_group_home_dir ="E:/MySQL5735/data/"
9、MsSQL数据库安全：
请安装SQL2014或以上版本到非C盘即可
10、 ASP.NET的安全设置：
<trust level="Full" originUrl="" />的参数说明
有Full|High|Medium|Low|Minimal对应"完全没限制的权限|高的权限|中|低|最低权限"
修改文件
C:\Windows\Microsoft.NET\Framework\v2.0.50727\CONFIG\web.config文件
和C:\Windows\Microsoft.NET\Framework64\v2.0.50727\CONFIG\web.config
net宽松权限：
<location allowOverride="true">改为：
<location allowOverride="false">
<trust level="Full" originUrl=""/>改为(下面只是加多一行)：
<trust level="Full" originUrl="" />
<identity impersonate="true" />(但这行加了会使得集成模式出错)
net严格权限：
<location allowOverride="true">改为：
<location allowOverride="false">
<trust level="Full" originUrl=""/>改为(参数为High)：
<trust level="High" originUrl="" />
<identity impersonate="true" />---这行不用加,会使得集成模式出错
修改文件
C:\Windows\Microsoft.NET\Framework\v4.0.30319\CONFIG\web.config文件
和C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CONFIG\web.config
net宽松权限：
<location allowOverride="true">改为：
<location allowOverride="false">
<trust level="Full" originUrl="" />改为(下面只是加多一行)：
<trust level="Full" originUrl="" />
<identity impersonate="true" />---这行加了会使得集成模式出错
net严格权限：
<location allowOverride="true">改为：
<location allowOverride="false">
<trust level="Full" originUrl="" />改为(参数为High)：
<trust level="High" originUrl="" />
<identity impersonate="true" />---这行不用加,会使得集成模式出错
11、如果长期不使用主机大师控制面板时将HwsHostEx、HwsHostSvc、HwsHostWebEx三个服务停用
需要使用时再开启
12、关闭系统共享功能 并设置IP安全策略屏蔽一些高危险端口的被外部访问
在IP安全策略中单独限制1433和3306端口被外部访问
13、使用权限处理工具2012和2018进行权限设置处理
2018权限处理工具中对Win2016专项处理权限的目录为：
C:\Windows\Vss
C:\Windows\tracing
C:\Windows\Tasks
C:\Windows\SysWOW64\wbem\Logs
C:\Windows\System32\wbem\Logs
C:\Windows\SysWOW64\Tasks
C:\Windows\System32\Tasks
C:\Windows\System32\spool\drivers\color
C:\Windows\System32\Microsoft\Crypto\RSA\MachineKeys
C:\Windows\System32\Ipmi
C:\Windows\SysWOW64\Ipmi
C:\Windows\System32\ias
C:\Windows\servicing\Sessions
C:\Windows\servicing\Packages
C:\Windows\ServiceProfiles\NetworkService
C:\Windows\ModemLogs
C:\Users\Default
C:\Users\All Users\USOShared\Logs
C:\Users\All Users\Microsoft\WinMSIPC\Server
C:\Users\All Users\Microsoft\Windows\WER
C:\Users\All Users\Microsoft\Windows\DeviceMetadataCache\dmrccache
C:\Users\All Users\Microsoft\User Account Pictures
C:\Users\All Users\Microsoft\Speech_OneCore
C:\Users\All Users\Microsoft\NetFramework\BreadcrumbStore
C:\Users\All Users\Microsoft\DRM\Server
C:\Users\All Users\Microsoft\DeviceSync
说明：实际上C:\Users\All Users=C:\ProgramData
其他说明：
执行专项权限处理后 如果是Hyper-V的虚拟机中,会引起的Hyper-V Time Synchronization Service服务不停的启动和关闭,可以在服务里将Hyper-V Time Synchronization Service服务禁用。
日志中会不停出现报错信息：安排软件保护服务在 2024-10-14T08:48:29Z 时重新启动失败。错误代码: 0x80070005。
对SoftwareProtection计划任务的文件增加权限即可：
icacls "%windir%\System32\Tasks\Microsoft\Windows\SoftwareProtectionPlatform\SvcRestartTask" /grant:r "NT Service\sppsvc:(OI)(CI)(RX)"
14、主机大师开通的网站权限加强
相关说明：
net代码的写入删除权限依赖程序池用户权限或IIS_IUSRS用户的权限(其一)
php代码的写入删除权限依赖网站身份验证匿名用户的权限
IIS_IUSRS用户不能有写入等权限否则会引起.net跨站攻击
直接用bat脚本来处理主机大师开通的网站权限：

请注意修改bat脚本中的程序池名和网站根目录web的物理路径
最后的网站整体权限结构如下
假设存放所有网站的总目录为D:\wwwroot
其中一个网站的网站路径为：D:\wwwroot\oapiiscn_4obipu
该网站的根目录为：D:\wwwroot\oapiiscn_4obipu\web
D:\wwwroot目录：只保留 Administrators和SYSTEM完全控制 权限
D:\wwwroot\oapiiscn_4obipu目录：Administrators和SYSTEM完全控制权限、网站运行用户oapiiscn读取权限
D:\wwwroot\oapiiscn_4obipu\web目录：
Administrators和SYSTEM完全控制权限
网站运行用户oapiiscn读取和写入和删除权限(此文件夹、子文件夹和文件) 说明:删除权限要在高级中加
网站运行用户oapiiscn权限类型拒绝的删除权限(只要该文件夹) 说明:删除权限要在高级中加,类型要选拒绝,这个主要是解拒绝FTP将web目录删除
程序池用户oapiiscn读取和写入和删除权限(此文件夹、子文件夹和文件) 说明:删除权限要在高级中加
程序池用户oapiiscn权限类型拒绝的删除权限(只要该文件夹) 说明:删除权限要在高级中加,类型要选拒绝,这个主要是解拒绝FTP将web目录删除
说明：程序池用户完整名称是IIS AppPool\程序池名
15、系统C盘其他目录权限设置参考
www.piis.cn/zhishi/2177.html